ПРОФЕССИЯ

Этичный хакер

Освойте с нуля все тонкости тестирования на проникновение (пентеста)

ДЛИТЕЛЬНОСТЬ:
11 МЕСЯЦЕВ

PENTEST

Пентест, или тестирование на проникновение, — это метод оценки и анализа уязвимостей в защите корпоративных сетей и элементах сетевой инфраструктуры.

Научитесь отражать кибератаки и поддерживать безопасность любых IT-систем

#

СТАРТ:
{{start_date}}

Чем занимается этичный хакер?

Этичный хакер — это специалист по кибербезопасности,
который находит и устраняет уязвимости систем и ресурсов компании.

Ежегодно в мире совершается более 1,5 миллионов киберпреступлений, а 98% компаний признают, что их системы безопасности не отвечают в полной мере их потребностям.

Пентест — это возможность легально атаковать системы безопасности, помогать бизнесу предотвращать кибератаки и стать востребованным IT-специалистом.

1237

вакансий Java QA Engineer открыто прямо сейчас

120 000₽

медианная зарплата Java QA Engineer в 2020 году

На основе данных hh.ru
(HeadHunter Russia)

Кибербезопасность — раздел информационной безопасности, описывающий способы и методы защиты от цифровых атак.

Кому подойдёт профессия этичного хакера

Новичкам

Специалист по пентесту, или этичный хакер, — отличный выбор для старта карьеры в IT. Вам не потребуется никаких специальных знаний. Наш курс предоставит вам теоретический фундамент и все необходимые навыки, чтобы начать зарабатывать на пентесте.

Тестировщикам

Освоите перспективное направление в тестировании — пентест — и научитесь находить и предвосхищать уязвимые места в различных digital-системах.

Системным администраторам

Вы прокачаете своё представление о том, какие кибератаки могут грозить ПО, сетям и различным сервисам — тем самым повысите свою экспертность и ценность как специалиста.

В чём преимущества профессии пентестера от SkillFactory?

Профессия с нуля

Вам не потребуется знаний по тестированию или по программированию, чтобы начать обучение. Наш курс даст полноценное представление о лучших практиках тестирования на проникновение для корпоративных сетей и веба.

Авторская программа

Много практики

Вы будете тренировать навыки кибератак на специальных виртуальных стендах, которые разрабатывает наш партнер — компания Volga CTF, организатор крупных международных соревнований в области информационной безопасности.

Наша профессия разработана руководителем по информационной безопасности Иваном Кудрявиным, который уже более 12 лет работает с защитой информационных систем, конфиденциальной информации и пентестом.

Фундаментальные знания

Вы освоите устройство ОС Linux и OC Windows, получите знания, достаточные для базового администрирования систем. Узнаете, как можно атаковать ОС, искать уязвимости и минимизировать риски. Научитесь программировать на Python и писать скрипты на Bash и SQL.

С ростом цифровизации и переходом на удаленную работу многие недостатки безопасности «вышли наружу» и требуют серьезного внимания. Перспективность кибербезопасности нельзя недооценивать, особенно в эпоху стремительного роста интернет-бизнеса. Следовательно и растет востребованность специалистов в этой сфере. ИБ также привлекательна тем, что она охватывает множество технологий - от программирования до Интернета вещей (IoT), и в ней всегда появляется что-то новое. Поэтому необходимо всегда находиться на волне последних технологий и развиваться самостоятельно, а значит постоянно учиться.

"

Иван Кудрявин

Ведущий автор курса

Освойте профессию специалиста по тестированию на проникновение
за 11 месяцев

Записаться на курс

Какие типы атак вы научитесь проводить

Атаки на сайты

Выполнение тестирование веб-серверов на предмет присутствия уязвимостей с целью улучшения безопасности

Атаки на сети

Овладеете навыками проведения атак на беспроводные сети, расшифровки перехваченных handshake, анализа беспроводного трафика

Атаки на операционные системы

Разберетесь с аудитом безопасности ОС Linux и сбором информации. Научитесь собирать информацию и проводить атаки на Active Directory в Windows

Атаки на корпоративные системы

Узнаете методики сбора информации, на практике изучите атаки на антивирусные приложения, методы брутфорс, Net Pivoting, Metasploit framework

01

02

Практика в формате CTF

Практика на стендах

Практика на курсе

CTF (capture the flag или захват флага) - игровой формат соревнования, где предусмотрено выполнение определенных задач как в команде, так и индивидуально с целью захватить флаг и получить очки.

Работа со стендами в виртуальной лаборатории Skillfactory

Попробуете себя в роли нападающей и защищающейся стороны

01

Поучаствуете в командном CTF

03

Протестируете Black Box (Тестирование c минимумом входных данных или тестирование на проникновение «вслепую»)

02

Пройдете индивидуальный CTF

04

Настроите собственный стенд для тестирования

01

Потренируетесь на своих и общих стендах от партнера курса Volga CTF

03

02

Примените полученные знания при сканировании и эксплуатации уязвимостей

Программа рассчитана на 11 месяцев. В конце обучения вы сможете уверенно претендовать на позицию Junior Cпециалист по кибербезопасности

Краткая программа курса

Введение в пентест

1 блок

0,5 месяца

Введение в проблематику и методологию

• Стандарты в пентесте

• Базовое ПО для пентеста: ОС, приложения, пути развития

• Создание стенда для тестирования и его настройка

• Площадки для тестирования на проникновение в интернете

Содержание:

Программирование и написание скриптов

2 блок

1 месяц

Программирование на Python

• Базовые понятия Python. Функции, переменные

• Автоматизация на Python

• Пишем брутфорсер и кейлоггер на Python

Содержание:

Веб-программирование

• Основы веб-программирования и атак на системы управления контентом

• HTML и CSS. Основы JavaScript

• Основы PHP и XAMPP

Содержание:

SQL и работа с базами данных

• Реляционные и нереляционные базы данных. Установка и проектирование баз данных

• Сканирование баз данных. Атаки на базы данных. SQLi

Содержание:

Тестирование на проникновение

3 блок

1,5 месяца

Основы pentest в вебе

• Методология и ПО для web-pentest

• Применение BurpSuite

• Устройства и приложения для упрощения работы

Содержание:

Client Side Attacks

• Уязвимости клиентской части: XSS, CSRF, CSP

• Проведение client side-атак в вебе

• Противодействие атакам на клиентскую часть

Содержание:

Server Side Attacks

• Уязвимости серверной части

• Security Misconfiguration. Local File Inclusion. Remote Code Execution

• HTTP Parameter Pollution, CRLF Injection

Содержание:

• SQL Injection, Template Injections

Операционные системы

4 блок

2,5 месяца

OS Linux

• Введение в администрирование и архитектуру Linux

• Управление пакетами

• Bash и написание скриптов

Содержание:

• Аудит безопасности в OS Linux. Сбор логoв и информации

• Linux-сети. Сетевые сервисы. Принципы построения сетей, фильтрация трафика, маршрутизация

OS Windows

• Введение в администрирование и архитектуру Windows

• Active Directory. Аутентификация и сбор данных. Атаки

Содержание:

• Атаки бокового смещения: Pass the hash,
Overpass the hash. Pass the ticket

• Атаки на сетевые сервисы

• Firewall, его настройка и обход

• Администрирование с помощью Powershell. Powershell для пентеста

Сети

5 блок

1 месяц

Networks Base

• Основы сетевого взаимодействия TCP/IP. Основные сетевые протоколы

• Исследование сетевого трафика. Средства обнаружения вторжения и утечек данных

Содержание:

• Атаки на сетевое оборудование. Сетевые атаки MITM. Спуфинг

Тестирование беспроводных сетей

• Атаки на беспроводные сети. Методология, оборудование

• Атаки на WPS, перехват handshake. Меры по противодействию атакам

Содержание:

• Bluetooth, GSM, RFID

• CTF: Командный зачёт по атакам и защите серверов и виртуальных сетей

Тестирование на проникновение сетей

6 блок

3 месяца

Пентест для корпоративных сетей

• Активный и пассивный сбор информации. Сканирование уязвимостей

• OSINT, приложения, ресурсы, OSINT Frameworks

Содержание:

• Основы вредоносных приложений. Способы детектирования вредоносных приложений

• Обход детектирования

• Атаки «грубой силы». Способы их проведения

• Противодействие атакам на rdp и ssh, настройка безопасного доступа

• Проброс портов и туннелирование при проведении пентеста (Port Redirection and Tunneling)

• Основы работы с Metasploit framework. Популярные уязвимости

• Автоматизация в Metasploit framework

• Использование Powershell Empire framework для генерации полезной нагрузки и её эксплуатации

Финальный проект

Содержание:

• CTF: Тестирование black-box

Получить полную программу курса

Как проходит обучение?

Изучаете теорию на платформе

Мы придерживаемся модели «перевёрнутого класса». Вы можете проходить обучение в удобное для вас время. Новые модули будут открываться раз в неделю.

Выполняете практические задания

Микропрактика — для закрепления каждой темы на практике. Отдельные навыки вы будете отрабатывать на вебинарах вместе с преподавателями.

Работаете со стендами в лаборатории

Вам будут доступны стенды для отработки навыков «взлома» и имитации кибератаки, а также вы научитесь самостоятельно поднимать виртуальное окружение.

Получаете экспертную поддержку

Вы получите поддержку наставников — опытных специалистов в кибербезопасности — и кураторов, которые позаботятся о том, чтобы ваше обучение было комфортным и продуктивным.

Руководитель информационной безопасности
Опыт в ИБ более 12 лет — от противодействия иностранным разведкам на оборонном заводе до проектов с ПАО «НК «Роснефть», ПАО «Газпром», ОАО «Российские железные дороги»

Сертификаты: CCNA Security, Cisco IPS.

Руководитель направления Анализ Защищенности
Последние 6 лет занимается проектами в области offensive security:
⁃ анализ защищенности
⁃ тестирование на проникновение
⁃ Redteam

Сертификаты: OSCP (Offensive Security Certified Professional)

Иван Кудрявин

Вадим Лаушкин

Преподаватели и менторы

Руководитель технической защиты информации банка

Опыт в информационной безопасности с 2012 года. Пишет диссертацию по безопасности Ad-hoc сетей. Автор статей по защите данных в беспроводных сетях и социальной инженерии.

Специалист отдела мониторинга информационной безопасности

Опыт в IT и информационной безопасности более 3 лет, в том числе на крупных государственных мероприятиях.

Иван Василевич

Иван Дьячков

Эксперт по мониторингу киберугроз в «Мегафоне»

Опыт в информационной безопасности больше года, в основном отвечает за мониторинг и противодействие внешним атакам, работает с IDS- и IPS-инструментарием, SIEM- и SOAR-системами.

Специалист отдела мониторинга информационной безопасности в Positive Technologies Expert Security Center

Опыт в IT более 3 лет, до информационной безопасности занимался iOS-разработкой. Противостоял злоумышленникам на крупных государственных мероприятиях, был в команде организаторов киберполигона The Standoff.

Захар Бельтюков

Андрей Белкин

Ваше резюме после обучения

Сергей Иванов

— Проводить тестирования на проникновение

— Использовать навыки для проведения глубокого анализа защищенности веб-сервисов

— Проводить client-side и server-side атаки

— Писать код и скрипты на Python

— Работать с ОS Linux и OS Windows на уровне, достаточном для администрирования и проведения пентеста

— Оценить риски, связанные с недостаточной защищенностью цифровых систем, и предпринять меры по их минимизации

— Обнаружить и эксплуатировать уязвимости систем

— Использовать инструменты: burp suite, metasploit, mimikatz, nmap, sqlmap, powershell empire, kali linux, hashcat, Social-Engineer Toolkit, Wireshark, maltego, Ettercap, Airgeddon, Hping, THC Hydra

Специалист по тестированию на проникновение